Beveiligingsupdate MS09-008 die vier lekken in Windows dicht, werkt gewoon naar behoren, zo heeft Microsoft laten weten. Een paar uur na het verschijnen van de update op patchdinsdag, kwam beveiligingsonderzoeker Tyler Reguly met het nieuws dat die geen volledige bescherming biedt. Het WPAD Registration lek laat een aanvaller man-in-the-middle aanvallen tegen Windows DNS servers uitvoeren. WPAD is de Web Proxy Auto-Discovery en zorgt ervoor dat clients zonder tussenkomst van de gebruiker automatisch de proxy instellingen detecteren. De gebruiker downloadt de WPAD instelling van de DNS server. Een aanvaller zou dan zijn eigen IP-adres kunnen opgeven, waardoor al het verkeer van de gebruiker via zijn proxy loopt.
Nu blijkt dat servers die al via dit lek gehackt zijn en waarvan de waardes al zijn aangepast, niet van de patch profiteren. De patch kijkt alleen welke waarden in de DNS server zijn aangemaakt en voegt vervolgens een blocklist voor nieuwe waarden toe, terwijl de oude instellingen gewoon blijven werken. Volgens Reguly teken dat Microsoft functionaliteit voor veiligheid opoffert.
Geen morning-after pil
"Er zijn claims die beweren dat deze update niet werkt. Laat me duidelijk zijn dat deze update je beschermt en zo snel als mogelijk moet worden uitgerold", aldus MSRC Program Manager Maarten Van Horenbeeck. In een technische analyse van de vier kwetsbaarheden gaat hij dieper in op de problemen en scenario's hoe aanvallers ze kunnen misbruiken.
Wat betreft het probleem dat Reguly schetst, geeft Van Horenbeeck toe dat de update, of welke beveiligingsupdate Microsoft ook uitbrengt, hier geen bescherming tegen biedt. "Security updates zijn bedoeld om systemen tegen toekomstig misbruik te beschermen en maken aanvallen die in het verleden hebben plaatsgevonden niet ongedaan." De update kan gewoon niet weten of bepaalde WPAD instellingen door een aanvaller of systeembeheerder zijn toegevoegd. Bedrijven die zich zorgen maken kunnen via de DNS MMC snap-in de huidige WPAD/ISATAP instellingen in hun DNS zones controleren, zo gaat de program manager verder.
Deze posting is gelocked. Reageren is niet meer mogelijk.